Yrittäjän tietosuojavelvoitteet

Hei yrittäjä. Toimitpa millä tahansa toimialalla, yksin tai työnantajana, yksityishenkilöitä tai yrityksiä palvellen – yksi asia on aivan varmaa: tietosuojalainsäädäntö koskee myös sinua. Tiedostamme tämän olevan monille stressaava tieto. Tarkoittaahan se samalla myös lainsäädännön tuomia velvoitteita, viranomaisvalvontaa ja tarvetta ymmärtää velvoitteiden sisältö juuri oman yritystoiminnan näkökulmasta. Siksi halusimme kirjoittaa tämän blogitekstin, jossa kuvaamme keskeisimpiä jokaiseen yrittäjään kohdistuvia tietosuojavelvoitteita selkeällä suomen kielellä.

Yritys- ja toimialakohtaisissa kysymyksissä olemme mielellämme apunanne eli otattehan rohkeasti yhteyttä, jos ette saa riittäviä vastauksia tämän blogikirjoitukseni myötä. Kuten arvata saattaa, tietosuojasta voisi kirjoittaa kirjankin verran, joten tyhjentävää tästä blogitekstistä ei millään saa emmekä suosittele jättämään aiheeseen perehtymistä vain tähän tekstiin. Pyrimme myös tulevissa blogiteksteissämme avaamaan yksittäisiä tietosuojavelvoitteita ja -periaatteita tarkemmin.

Mitä on tietosuoja ja mitkä muut käsitteet on hyvä olla hallussa?

Tietosuoja on henkilötietojen suojaamista ja tietosuojalainsäädännön velvoitteilla pyritään turvaamaan, että henkilötietoja käsitellään asiallisesti ja turvallisesti. Terminä tietosuoja ja tietoturva menevät usein sekaisin – eikä ihme, koska molemmat osa-alueet ovat olennaisia henkilötietojen suojaamisen kannalta. Ennen aiheessa pidemmälle menemistä on syytä avata parin muunkin keskeisen käsitteen merkitys:

• Henkilötiedot ovat tietoja, joiden perusteella henkilö voidaan tunnistaa. Henkilötietoja ovat nimen ja henkilötunnuksen lisäksi esimerkiksi osoite, puhelinnumero, sähköpostiosoite, auton rekisterinumero, kiinteistötunnus ja IP-osoite sekä kaikki henkilöön liittyvät tiedot kuten kyseistä henkilöä koskevat terveystiedot.
• Henkilötietojen käsittelyä on muun muassa tietojen kerääminen, tallentaminen, järjestäminen, säilyttäminen, muokkaaminen, käyttö, tietojen yhdistäminen, rajoittaminen, poistaminen ja tuhoaminen. Huom! Myös pelkkä henkilötietojen katsominen on henkilötietojen käsittelyä, jolle on oltava lain mukainen peruste.

Henkilötietojen käsittelyä tapahtuu jokaisella yrityksessä, jossa on työntekijöitä tai asiakkaita. Työntekijöiden osalta henkilötietoja on välttämätöntä käsitellä muun muassa työnantajavelvoitteiden täyttämiseksi aina työsopimuksen laatimisesta palkanmaksuun ja esimerkiksi työterveyshuollon järjestämiseen. Yksinyrittäjä taas käsittelee henkilötietoja vähintään asiakkaidensa osalta: toimeksiantosopimuksen tekeminen sekä laskutuksen ja markkinoinnin hoitaminen edellyttävät, että yritys käsittelee henkilötietoja vähintään asiakkaan yhteyshenkilön nimen ja yhteystietojen verran. Kaikki edellä kuvattu henkilötietojen käsittely on hyväksyttävää niin kauan kuin sitä tehdään tietosuojalainsäädännön periaatteiden noudattamisesta ja velvoitteiden täyttämisestä huolehtien.

Miten lähteä laittamaan yrityksen tietosuoja-asioita kuntoon?

Kaiken konkreettisen toiminnan tulee lähteä ymmärryksestä eli tietoisuudesta sen osalta, mitkä tietosuojavelvoitteet koskevat juuri minun yritystäni ja miten velvoitteet tulee käytännön tasolla täyttää.

Moni yrittäjä lienee tietoinen tietosuojaselosteen olemassaolon ja asianmukaisen sisällön tärkeydestä, mutta asiassa ei voi edetä siten, että ensin tehdään tietosuojaseloste ja vasta sitten aletaan hankkimaan ymmärrystä yrityksen kannalta relevantista tietosuojalainsäädännöstä ja sen velvoitteista. Harmillisen usein yritysten nettisivuilta löytyvistä tietosuojaselosteista on aistittavissa, että tietosuojaselosteen tarkoitusta ei välttämättä ole täysin sisäistetty, mikä taas voi johtua puhtaasti siitä, ettei tietosuojaselosteen funktiota yhtenä tietosuoja-asetuksen mukaisen informointivelvoitteen täyttämistapana ole ymmärretty. Ymmärrystä lisäisi sovellettavan lainsäädännön haltuun ottamisen lisäksi huomattavasti jo ihan se, että yrityksen eri toiminnot (esim. markkinointi, asiakashallinta/CRM, henkilöstöhallinto, mahdollinen kamera- ja kulunvalvonta) käsitettäisiin omiksi henkilötiedon ”käsittely-yksiköikseen”, joilla jokaisella on oma tarkoituksensa ja tavoitteensa. Esimerkiksi markkinoinnin yhteydessä käsiteltyjen henkilötietojen käsittelyperuste on usein aivan eri kuin esimerkiksi palkkahallinnossa. Tällöin myös henkilötietojen käsittely esimerkiksi henkilötietojen säilytysaikojen osalta on luonnollisesti eri eikä näitä kahta ”käsittely-yksikköä” sovi niputtaa yhteen tietosuojaprosessien näkökulmasta tai tietosuojaselosteessa.

Ja mitä tietosuojaprosesseihin tulee, ne ovat äärimmäisen tärkeitä missä tahansa yrityksessä, jossa käsitellään henkilötietoja. Alkuun jo lyhytkin tietosuojaprosesseja kuvaava yhteenveto/ohjeistus auttaa yrittäjää hahmottamaan omassa yritystoiminnassa keskeisessä roolissa olevat henkilötiedot, niiden käsittelyperusteet, säilytysajat, mahdolliset riskit sekä toimintamallit, joita yritys noudattaa esimerkiksi tilanteessa, jossa rekisteröity eli henkilötietojen kohteena oleva henkilö pyytää vaikkapa poistamaan häntä koskevat henkilötiedot yrityksen järjestelmistä. Kun yrittäjä on miettinyt ja kirjannut tietosuojaprosessit, on hänen vaivatonta ja nopeaa ottaa kantaa, onko rekisteröidyn pyyntö mahdollista toteuttaa vai edellyttääkö esimerkiksi kirjanpitolainsäädäntö poistetuksi pyydetyn tiedon säilyttämistä.

Toivottavasti tämä blogiteksti herätti ajattelemaan oman yrityksesi tietosuojakysymyksiä. Autamme mielellämme tietosuojaan liittyvissä kysymyksissä, joten ethän epäröi ottaa yhteyttä!

Niina Kosunen
Asianajotoimisto Luckylaki
+358 50 3675311
niina.kosunen@luckylaki.fi